Cietā diska šifrēšana#

(Nitrokey Storage 2 - Linux)

VeraCrypt (agrāk TrueCrypt)#

VeraCrypt ir bezmaksas atvērtā koda diska šifrēšanas programmatūra operētājsistēmām Windows, macOS un GNU+Linux. Tā ir TrueCrypt pēctecis, tāpēc ir ieteicama, lai gan turpmāk minētie norādījumi attiecas arī uz TrueCrypt.

Lai izmantotu programmu ar Nitrokey Storage 2 vai Nitrokey Pro 2, izpildiet šos soļus:

  1. Instalējiet jaunāko versiju OpenSC vai lejupielādējiet PKCS#11 bibliotēku.

  2. Izvēlieties bibliotēku VeraCrypt sadaļā Settings>Preferences>Security Token (atrašanās vieta ir atkarīga no sistēmas, piemēram, /usr/lib/opensc).

  3. Ģenerējiet 64 baitu atslēgas failu, izmantojot rīkus Tools>Keyfile Generator.

  4. Tagad jums vajadzētu būt iespējai importēt ģenerēto atslēgas failu, izmantojot sadaļu Rīki>Pārvaldīt drošības žetonu atslēgu failus. Jums jāizvēlas pirmais slots ([0] User PIN). Pēc tam atslēgas fails tiek saglabāts Nitrokey kā „Privāto datu objekts 1“ (</x id="224"></x>).

  5. Pēc tam jums vajadzētu droši noslaucīt oriģinālo atslēgas failu datorā!

  6. Tagad varat izmantot VeraCrypt ar Nitrokey: izveidojiet konteineru, izvēlieties ierīces atslēgas failu kā alternatīvu parolei.

Brīdinājums

Drošības apsvērumi

Lūdzu, ņemiet vērā, ka VeraCrypt neizmanto visu Nitrokey (un viedkaršu kopumā) piedāvāto drošību. Tā vietā Nitrokey atmiņā tiek saglabāts atslēgas fails, kuru teorētiski var nozagt ar datorvīrusu pēc tam, kad lietotājs ir ievadījis PIN kodu.

Piezīme: Aloaha Crypt ir balstīta uz TrueCrypt/VeraCrypt, bet bez aprakstītajiem drošības ierobežojumiem.

Cietā diska šifrēšana GNU+Linux sistēmā ar LUKS/dm-crypt#

Šeit ir izcilas instrukcijas, kā izmantot Nitrokey, lai šifrētu cieto disku zem GNU+Linux ar LUKS/dm-crypt. Citas instrukcijas.

Purism ir izveidojis vienkāršu skriptu, lai pievienotu Nitrokey/LibremKey kā veidu, kā atbloķēt LUKS nodalījumus (vēl nav pārbaudīts ar Nitrokey).

Šī projekta mērķis ir atvieglot LUKS lietošanu ar Nitrokey Pro vai uz Password Safe balstītu krātuvi (Nitrokey vēl nav testēts). Apraksts, kā to izmantot Gentoo operētājsistēmā, ir atrodams šeit.

Arch Linux gadījumā skatiet initramfs-scencrypt.

GNU+Linux krātuves šifrēšana ar EncFS#

EncFS ir viegli lietojama šifrētu failu sistēmu lietotne, un tās pamatā ir FUSE. Lai to izmantotu ar ļoti garām parolēm un Nitrokey Pro 2, varat izpildīt šos soļus:

Inicializācija#

  1. Izveidojiet atslēgas failu ar izlases datiem:

$ dd bs=64 count=1 if=/dev/urandom of=keyfile
  1. Šifrējiet atslēgas failu un izmantojiet Nitrokey lietotāja ID.

$ gpg --encrypt keyfile
  1. Atslēgas faila noņemšana skaidrā tekstā:

$ rm keyfile # you may want to use 'wipe' or 'shred' to securely delete the keyfile
  1. Izveidot montāžas punktu:

$ mkdir ~/.cryptdir ~/cryptdir
  1. Faktiskās šifrēšanas mapes izveide

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
# There may appears an error message about missing permission of fusermount
# This message can be ignored
  1. Atvienojiet jauno failu sistēmu:

$ fusermount -u ~/cryptdir

Lietošana#

  1. Pievienojiet šifrēto failu sistēmu un ievadiet Nitrokey PIN kodu:

$ gpg -d keyfile.gpg | encfs -S ~/.cryptdir ~/cryptdir
  1. Pēc lietošanas atvienojiet failu sistēmu:

$ fusermount -u ~/cryptdir

GNU+Linux krātuves šifrēšana ar ECryptFS#

eCryptfs ir uz failiem balstīta caurspīdīga šifrēšanas failu sistēma GNU+Linux, ko var izmantot ar Nitrokey, izmantojot PKCS#11 draiveri.

Skatiet šīs instrukcijas:

  1. Sertifikāta un atslēgas importēšana uz Nitrokey

# Warning: This will delete existing keys on your Nitrokey!
$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key user@example.com.p12 --format pkcs12 --auth-id 3 --verify-pin
  1. Izveidojiet failu ~/.ecryptfsrc.pkcs11:

$ editor ~/.ecryptfsrc.pkcs11
  1. Ievadiet šo saturu:

$ pkcs11-log-level=5 pkcs11-provider1,name=name,library=/usr/lib/opensc-pkcs11.so,cert-private=true
$ openvpn --show-pkcs11-ids path to opensc-pkcs11 module
Certificate
    DN: /description=Iv4IQpLO02Mnix9i/CN=user@example.com/emailAddress=user@example.com
    Serial: 066E04
    Serialized id: ZeitControl/PKCS\x2315\x20emulated/000500000c7f/OpenPGP\x20card\x20\x28User\x20PIN\x29/03
  1. Serializētā id kopēšana vēlākai lietošanai:

$ ecryptfs-manager
# This will show list option. Choose option "Add public key to keyring"
# Choose pkcs11-helper
# Enter the serialized ID of step 3 to PKCS#11 ID.

Kā alternatīvu varat izmēģināt ESOSI vai izpildiet šos soļus, izmantojot OpenSC un OpenVPN.

Rokasgrāmatas avots: https://www.nitrokey.com/documentation/applications#a:hard-disk-encryption